油田工业控制系统信息安全纵深防御初探
引言
随着中国经济的快速发展,石油、天然气等能源产业在国家经济中的地位愈加显著。近年来国家大力倡导国家能源安全与能源储备,客观上向中国的能源产业提出了更高的要求,同时也提供了更多的发展空间。因此通过数字化远程管理,有效控制生产过程中的关键技术环节,实现远程调度指挥、监管、控制的大规模生产是目前众多大型企业所企盼的。 技术在飞速发展的同时,不可避免的带来了系统安全的各类风险和威胁,在数字油田的构建中,存在着如系统终端平台安全防护弱点、系统配置和软件安全漏洞、工控协议安全问题、私有协议的安全问题、隐藏的后门和未知漏洞、TCP/IP自身的安全问题、用户权限控制的接入、网络安全边界防护、内部人员非法操作以及密钥管理等各种信息安全风险和漏洞。 数字油田系统一旦遭到破坏或入侵,会直接危害到原油的开采和运输,继而影响到国家能源安全问题,造成直接或间接的巨大经济损失,更会影响社会的安定团结。 油田自动化利用自动化手段对油水井站、计量间、阀组、联合站(集气站)、原油外输系统、油罐及油田其他分散设施进行自动检测、自动控制,从而实现生产自动化和管理自动化。但是采油现场常常分布在人烟稀少的偏僻地区,交通通讯不便,分布地域广泛,现场人员较少,大部分地区处于无人或少人职守状态。一旦现场控制系统发生异常,可能导致发现晚、排查难、影响大等一系列问题。 2 数字油田OICS风险分析 2.1 网络结构分析 油田网络结构庞大,采油厂以下按照管理区划分为多个管理区,管理区与采油厂通过专用光纤进行通讯。 现场基本控制单元包括油井、配注站、注水站等不同的单元,包含的主要网络设备和控制设备为RTU、PLC系统及摄像头,现场基本控制单元通过无线传输的模式,将数据与汇聚点进行通信,无线汇聚点通过专用光纤将数据上送到管理区生产指挥中心。注水站PLC系统通过专用光纤将数据上传到管理区生产指挥中心,管理区生产指挥中心通过光纤将生产数据发送至办公网络。 管理区的网络可以以三层两网的模型进行分析。两网是指现场无线网络和光纤网络,三层分别是下层现场控制设备层、中间汇聚层、上层管理层,本文依据网络和层次结构对威胁与脆弱性进行分析。油田管理区网络拓扑图如图1所示。 图1 油田OICS网络拓扑图 2.2 整体风险分析 依据网络拓扑图以及网络结构并结合目前已有的技术安全措施,现有的安全隐患包括以下几个方面。 (1)网络设备准入控制隐患 整个油田的网络终端设备部署在野外现场,难以有效地采用门禁等措施来管控整个网络,生产网较容易被外来人员接入其他网络设备,难以对第三方非法接入进行报警和阻断,存在较大安全隐患。 (2)无线通信缺乏认证 现场设备如油井、配注站等以无线方式与汇聚塔通讯,工控数据也通过无线方式与OICS服务器通讯,缺乏有效的身份认证。 (3)生产网和办公网接口 生产网包含了工控网络与视频网络,数据量庞大,目前未做任何的防护措施,给生产安全带来巨大的风险。 (4)工控网与视频网合用威胁 生产网包含了工控网络与视频网络,工控网与视频网合用,数据量庞大,数据的格式、协议、保密性要求与传输延时要求等均存在巨大差异,业务差别大、安全需求差别也很大。两网使用同一根光纤传输存在较大安全隐患。 (5)缺乏有效的防病毒措施 工程师站、操作站、视频监控站、数据库服务器、数采及视频服务器等都在同一网络中,与上层办公网络等无隔离防护,虽然安装了360防病毒软件,但360防病毒软件本身只能针对常规的病毒并不适用工控网络,对工控系统的病毒防护存在误杀风险。 (6)针对特定工控系统的攻击 黑客可能利用木马、病毒(如最近的勒索病毒以及针对工控系统的震网病毒)、文件摆渡或其他手段进入工控网络,对工控系统控制器发出恶意指令(如控制器启停指令、修改系统时间、修改工艺参数、对动设备进行启停操作等),导致工控系统宕机停产或出现严重的安全事故。 (7)对网络流量缺乏有效的监控措施 现场生产网络分布位置广泛,设备多(如一个汇聚点连接了几十口油井,每个油井上包含了众多的仪表及设备),网络结构复杂,缺少有效的网络流量监控措施,在危险发生时难以有效发现威胁来源及可能造成的影响,难以有效地对威胁进行快速响应来降低对生产的影响。 (8)未进行分区域隔离 汇聚点之间、注水站之间以及汇聚点与注水站之间只是通过划分VLAN来分区,但是VLAN方式并不能防范病毒的扩散以及黑客的入侵行为。 (9)漏洞利用风险 事实证明,99%以上攻击都是利用已公布并有修补措施、但用户未修补的漏洞。操作系统和应用漏洞能够直接威胁数据的完整性和机密性,流行蠕虫的传播通常也依赖于严重的安全漏洞,黑客的主动攻击往往离不开对漏洞的利用。 (10)行为抵赖风险 如何有效监控业务系统访问行为和敏感信息传播,准确掌握网络系统的安全状态,及时发现违反安全策略的事件并实时告警、记录,同时进行安全事件定位分析,事后追查取证,满足合规性审计要求,是迫切需要解决的问题。 3 3.1 安全建设基本原则 对于工控安全建设,应当以适度安全为核心,以重点保护为原则,从业务的角度出发,重点保护重要的业务系统,在方案设计中应当遵循以下几项原则。 (1)适度安全 任何系统都不能做到绝对的安全,在进行工控安全等级保护规划中,要在安全需求、安全风险和安全成本之间进行平衡和折中,过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。适度安全也是等级保护建设的初衷,因此在进行等级保护设计的过程中,一方面要严格遵循基本要求,从物理、网络、主机、应用、数据等层面加强防护措施,保障信息系统的机密性、完整性和可用性,另外也要综合成本的角度,针对系统的实际风险,提出对应的保护强度,并按照保护强度进行安全防护系统的设计和建设,从而有效控制成本。 (2)技术管理并重 工控安全问题从来就不是单纯的技术问题,把防范黑客入侵和病毒感染理解为工控安全问题的全部是片面的,仅仅通过部署安全产品很难完全覆盖所有的工控安全问题,因此必须要把技术措施和管理措施结合起来,更有效地保障信息系统的整体安全性,形成技术和管理两个部分的建设方案。 (3)分区分域建设 对工控系统进行安全保护的有效方法就是分区分域,由于工控系统中各个资产的重要性是不同的,并且访问特点也不尽相同,因此需要把具有相似特点的资产集合起来,进行总体防护,从而可更好地保障安全策略的有效性和一致性;另外分区分域还有助于对网络系统进行集中管理,一旦其中某些安全区域内发生安全事件,可通过严格的边界安全防护限制事件在整网蔓延。 (4)合规性 安全保护体系应当同时考虑与其他标准的符合性,技术部分参考《GBT25070-2019 信息安全技术网络安全等级保护安全设计技术要求》进行设计,管理方面同时参考《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》以及IEC 27001安全管理指南,使建成后的等级保护体系更具有广泛的实用性。 (5)动态调整 工控安全问题不是静态的,它总是随着管理相关的组织策略、组织架构、信息系统和操作流程的改变而改变,因此必须要跟踪信息系统的变化情况,调整安全保护措施。 3.2 安全防御方案 3.2.1 分层分域构建纵深防御体系 分层分域的目的是通过分层划分不同的系统集合,根据不同系统的特点采取相应的防护手段,例如工控区域的特点是以高可用性为优先原则,而管理区应以机密性为优先原则;分域则是依据最小业务系统的原则避免安全风险的扩散。对于处于生产管理区但需要和OICS实时服务器通讯的功能服务器建议设立工控DMZ区,将这些功能服务器单独部署在工控DMZ区内,分层分域部署如图2所示。 图2 油田OICS分层分域图 在生产管理层与工控DMZ层的边界设置带有入侵检测装置的下一代防火墙,依据访问控制关系配置访问控制列表(ACL),同时可以对入侵行为进行监测报警。 在工控DMZ层与监控层的边界设置工业单向网闸,防止工控DMZ层感染的病毒渗透到监控层,由于单向网闸采用2+1架构,可以阻断两个网络的实时连接,防止黑客的入侵行为。 在监控层与设备控制层边界依据业务特点划分最小业务单元设置工业防火墙,由于工业防火墙采用白名单机制,可以阻断所有非白名单的流量,同时具备BYPASS功能,可以用于要求高可用性的工控网络中。监视站与服务器之间也可设置工业防火墙,实现确定性的指令级控制,由于每台监视站的监视范围和控制功能的不同,可以依据控制范围和控制功能设置可监视和控制的位号的白名单,实现精准的控制防止误操作以及人为破坏。 3.2.2 确定性的可预测行为监视 油田OICS是实时的工业控制系统,按照扫描周期完成数据的采集、数据的模数转换、应用控制策略的执行、数据的数模转换、控制型号的执行,因而网络中的流量的大小、协议的类型、控制的点位等均为确定性的。通过分析工控核心交换机的镜像流量,结合生产业务关系的关联分析,对行为建模预测性判断,并对风险报警。行为监测设备部署如图3所示。 图3 工控安全监测审计设备位置图 主要实现以下功能: (1)资产数量的确定性,对入侵设备的可预测分析; (2)资产访问关系的确定性,对异常的访问行为的可预测分析; (3)流量特征的确定性,对恶意文件、入侵的可预测分析; (4)业务行为(组态的下载、上传、对设备的操作)的确定性,对入侵检测的可预测分析; (5)变更计划的确定性,对入侵或工控专有病毒(如:火焰、震网)研判的可预测性分析; (6)生产运维计划的确定性,对入侵等异常行为的可预测分析。 3.2.3 确定性的可预测主机加固 油田OICS的操作站、服务器、工程师站由于高可用性的要求无法安装系统补丁及杀毒软件,存在巨大的安全隐患,成为了病毒的中转站,同时也是黑客入侵的主要攻击对象。对于工控的主机防护可以采用基于白名单进程管控的工控主机卫士来实现。 主要实现功能如下: (1)主机进程的确定性,恶意进程的可预测性防护,结合业务流程阻止非预测的额外进程运行; (2)主机服务端口的确定性,异常行为的可预测性防护,结合相关程序的日常端口行为阻止非预期端口开放; (3)主机访问关系的确定性,异常访问的可预测性防护,通过流量画像精准展示异常连接; (4)主机运维的确定性,异常行为的可预测性发现,结合运维日志发现非预期的主机行为。 3.2.4 可视化的安全运营 在数字油田OICS中建设了一些安全设备后,会产生众多的事件和日志,为统一管理工业控制的系统设备、安全设备及日志信息,将多个设备日志信息关联分析,需要建设一套工控安全运营中心,此平台与传统管理网的平台不同之处有如下几点: (1)该平台应该能够直接收集工业交换机及工控应用系统的信息; (2)该平台能够分析工控网络中的设备互联状况,包括流量、时间、工控协议等元素建立白名单规则,及时有效发现异常并报警; (3)该平台的关联分析与传统事件关联分析模型不同; (4)适应工控网络的特性,工控安全运营中心不再以日志为主要分析手段,而是采用流量行为分析为主、事件分析为辅的技术路线,通过安全监控、风险分析、流量秩序监控三大方面来描述当前的安全状况。 该平台产品是面向工控环境的安全管理解决方案,结合工业控制协议的深度解析工作,实现工业控制环境下流量行为的合规审计,减轻运维人员的维护工作量,让风险及网络行为直观展示,让入侵和病毒无所遁形。 4 数字油田的OICS是油田的大脑,一旦受到破坏其影响不仅限于直观的经济损失,还会直接影响普通民众的日常生活甚至造成人员伤亡,更为严重的是会影响到国家的安全和社会的稳定。国外敌对势力的破坏仍然存在,不法分子的渗透与日俱增,加强油田企业OICS的网络安全防护已经势在必行。